Думаю, понятно, что картинка выше непросто про EDR, которые на первом месте с точки зрения обнаружения хакерской активности в SOC. В принципе сама идея, что есть какой-то Топ5 сенсоров для мониторинга или "триада технологического стека SOC", - утопична 🤨
Ничего такого нет, так как сильно зависит от тех сценариев (use cases), которые необходимо отслеживать. Условно, если вы мониторите АСУ ТП 🔍, то у вас там EDR может и не входит в Топ5, а на первое место выйдут какие-нибудь МСЭ (даже не NGFW), средства авторизации доступа админов (PAM), средства мониторинга сетевой активности и только потом, что-то, что можно поставить на HMI, SCADA-сервера и т.п. 🏭
В корпоративной среде, да, EDR сейчас становится самым популярным источником данных для обнаружения вредоносной активности на хостах, с которых часто и начинается активное развитие атаки внутри инфраструктуры 🔓 Но вот если у вас строится SOC/ЦПК и вы не знаете, какие сенсоры вам вообще будут нужны, то данная гистограмма может вам подсказать направление движения, а оно одно - начните с use cases.
Джет выкатил описание критической ‼️ RCE-уязвимости в Битриксе (CVSS 9.5), которая позволяет скомпрометировать сайт, работающий на этой CMS 🌐 Интересно, что в базе NVD у этой уязвимости был идентификатор CVE-2022-29268, который помечен как «отклоненный» (в прочих базах, включая и БДУ ФСТЭК, идентификаторы также не были присвоены). Судя по описанию, патча нет, есть только компенсационные меры, снижающие вероятность использования дыры 😷
⚠️ Получается, что 2 года назад (уязвимая версия Битрикса появилась в декабре 2021 года) уязвимость отклонили, но ее можно эксплуатировать до сих пор (хотя и при достаточно специфических условиях). По утверждению Джет производитель не считает это уязвимостью 😠
А я врываюсь в новую неделю с очередной заметкой про CISO, а точнее про модель оценки зрелости руководителя по ИБ глазами агентства по подбору топ-менеджеров 🧐, которые с помощью разработанной ими модели CALM (The CISO Assessment Level Maturity) оценивают как действующих CISO (соответствуют ли они компании, в которой работают), так и тех, кого ищут топ-менеджеры для себя 🤔
Читать полностью…Помните историю с фейковой точкой доступа 👴 в аэропорту Шереметьево? Теперь вот подписчик пишет (за что ему спасибо), что на поездах РЖД 🚂 с этим столкнулся. И это прям интересная история, так как это требует немного иного доступа для злоумышленников. То есть либо проводники в доле, либо монтёры в депо, либо мошенник постоянно ездит на поезде и может снимать полученные данные 🖥 Ну или это ситуативная история, когда повезло задетектить левую точку во время целевой атаки на конкретного пассажира только на одном поезде…
Читать полностью…Мнимые труженики – проблема, с которой регулярно сталкиваются компании разного размера.
И в большинстве случаев руководители компаний понимают, как важно контролировать эффективность сотрудников. Однако бывает и так, что «аппетит приходит во время еды» и с контролем перегибают. Читая новости про очередное новшество «для блага сотрудников» из корпоративного мира, задаешься вопросом: где та граница, за которой адекватный контроль превращается в не пойми что?
🔗 Собрал несколько технологий на грани фола для контроля за сотрудниками, которые используют работодатели.
🔲 Листайте карточки, чтобы никогда не делать также. Пишите в комментариях примеры, когда желание контролировать работника переходило разумные, на ваш взгляд, границы.
#байки_безопасника
#Алексей_Дрозд
🏠 Подписаться на Кибердом & Бизнес
Интересно, что несмотря на похолодание 🥶 отношений между Россией и Европой, последняя продолжает следить за происходящем и в нашем регуляторном поле. Вот недавно стокгольмский институт исследования проблем мира 🕊 выпустил исследование, сравнивающее подходы к снижению киберрисков в ЕС, США, Китае и России; с обзором нормативки и вот этого всего... ✌️
Читать полностью…Мда… Но хорошо хоть не шифрокриптование… 🤦♂️ Про «просто» сертифицировать российские СКЗИ в зарубежных центрах сертификации, вообще агонь 🤦♂️
Читать полностью…Oxford Economics по заказу Splunk провел исследование и выпустил отчет "Скрытая цена простоя", в котором попробовал оценить стоимость простоя с разных точек зрения - прямые потери, штрафы от регуляторов, штрафы за нарушение SLA, потери производительности и т.п. 🤑
Одна минута простоя ⏳ по оценкам обходится от 9 тысяч долларов, или 540 тысяч долларов в час. Понятно, что применять эти суммы к российским реалиям некорректно, но вот посмотреть на статьи затрат очень даже полезно.
Кроме того, в отчете описаны временные параметры восстановления после простоев ⏱, примеры влияния на различные бизнес-единицы предприятия (например, маркетинг) и т.п. В целом полезное чтиво с точки зрения бизнеса и оценки влияния на него инцидентов ИБ (56% всех простоев происходит именно по причине кибербеза и только 44% - по причине сбоев в приложениях и инфраструктуре) 🤕
Продолжая вчерашнюю тему, немного написал про страхование ответственности CISO за его действия или бездействия. Интересно, что страховые продукты (D&O и E&O) предлагаются и в России.
Читать полностью…В Европе прошли демократические выборы, в США такие еще только грядут, а мне занятная статья попалась на глаза 👀 Текст начинается с воспоминаний автора о запуске космического шаттла “Челленджер” в его детстве 🚀 Запуск, который ожидали с нетерпением, привел к трагедии через 73 секунды после старта. Это событие стало символом катастрофических последствий группового мышления и проблем с культурой принятия решений внутри NASA 🤦♂️ Автор приводит пример с “Челленджером” как аналогию, подчеркивая важность создания меритократии (системы, где продвижение и принятие решений основано на заслугах) в области кибербеза.
Причина катастрофы была связана с отказом уплотнительных колец в твердотопливных ускорителях. NASA и производитель ускорителей Morton Thiokol знали о дефекте с 1977 года, но не предприняли никаких мер по его устранению 🤐 Менеджеры NASA игнорировали предупреждения нижестоящих инженеров о запуске при низких температурах и не сообщали о технических проблемах своим начальникам. Это привело к катастрофе, в которой погибли семь человек ⚰️
Автор считает, что безопасность должна строиться по принципу меритократии, то есть "власти достойных". Он предлагает пять способов, которые помогут создать такую культуру в командах по ИБ:
1️⃣ Оценка по действиям. Оценивать людей надо по их действиям, а не по словам ("звиздить, не мешки ворочать"). Идеи и решения должны быть проверены на практике, а не только выглядеть хорошо на бумаге 🫢
2️⃣ Исключение политики. Политика разъединяет людей. В обсуждениях по безопасности политика не должна упоминаться. Важно сосредоточиться на стратегических, оперативных и тактических вопросах, а не поптыках удовлетворить хотелки очередного начальника или его любовницы 😍
3️⃣ Избегание группового мышления. Групповое мышление приводит к предвзятым и неверным решениям, за последствия которых еще никто и не отвечает. Решения должны основываться на данных, логике и разуме 🧠
4️⃣ Игнорирование “блестящих” объектов. Новые идеи должны оцениваться по их реальной ценности, а не по тому, насколько они популярны или личного того, кто их продвигает. Необходимо объективное тестирование идей перед внедрением.
5️⃣ Поощрение правильной культуры. Сотрудники должны чувствовать себя комфортно, предлагая новые идеи и подходы. Критика и насмешки должны отсутствовать, чтобы не упустить ценные предложения 🏖
Культура влияет на эффективность и успех любой организации, включая команды по кибербезу. Создание внутри служб ИБ (да и в системе госуправления ИБ) меритократии помогает избежать группового мышления и предвзятости, помогая достигать лучших результатов и улучшая общее состояние ИБ в компании, в отрасли, в стране. Когда люди чувствуют себя уверенно, выражая свои идеи и подходы, понимая, что их не поднимут на смех и не заткнут "выскочек", выигрывают все 🏆
Можно пытаться защищаться от атак, выстраивая систему обнаружения 🔍 и реагирования, стараясь сделать это быстрее, чем хакеры достигнут своих целей. А можно попробовать усложнить жизнь хакерам и их продвижение по инфраструктуре, начиная с закрытия открытых извне портов, отключения сервисов, сегментации сети и т.п. 🛡
Ровно тоже самое делают корабли, идущие через Красное море в Суэцкий канал 🚢 Их не страхуют, они не всегда могут защитить себя и поэтому они делают это подручными средствами, существенно усложняя жизнь пиратам, пытающимся проникнуть на корабль... 🏴☠️
Лень 🦥 - это не только двигатель прогресса, но и двигатель для хакерских находок. Зачем, например, в уличный гриль 🥩 встраивать Wi-Fi-контроллер? А чтобы удаленно контролировать его через смартфон, поднимать и понижать температуру, заливать свои прошивки, и т.п. Ну и, конечно же, нашлись те, кто решил проверить такой гриль от компании Traeger "на вшивость", то есть на уязвимость 🥷 Исследователи из BishopFox нашли пару дыр в контроллере, одна из которых имела достаточно высокий CVSS - 7.1.
У меня, конечно, есть парочка комментариев к этой истории:
1️⃣ Не покупайте устройства с Интернетом (IoT) только ради забавы. Вы наиграетесь в них и забудете, а хакеры нет и через них могут сделать всякое 👴
2️⃣ Если уж покупаете, то перед покупкой уточните, какие механизмы защиты используются в устройстве. У гриля вся авторизация была построена на 48-битном идентификаторе, который легко перехватывался во время связывания устройств (гриля и смартфона).
3️⃣ Как по мне, так CVSS 7.1 для массово неэксплуатируемой уязвимости в консьюмерском IoT, - это как-то слишком.
ЗЫ. Оставлять гриль без присмотра вообще не рекомендуется! 🔥 Как и турку на газовой плите ☕️
Роберт Хансен придумал кодекс этики CISO, включив в него 9 пунктов:
1️⃣ CISO должен соблюдать NDA, кодекс этики и трудовой договор своей компании.
2️⃣ CISO обязан раскрывать работодателю любое вознаграждение, акции, деньги, обещания будущих позиций, подарки любого размера или любые формы вознаграждений, включая соглашения о консультациях и выплаты супругам или другим лицам, от которых CISO может получить финансовую или другую выгоду.
3️⃣ Если у CISO есть консультативная практика, клиенты и характер консультационных соглашений должны быть прозрачны для работодателя CISO и не содержать конфликта интересов.
4️⃣ В случае неизбежных конфликтов интересов, CISO должен отказаться от участия.
5️⃣ CISO может присоединиться к консультативным советам клиентов только с разрешения своей компании, и если предлагается компенсация, она также должна быть одобрена работодателем CISO.
6️⃣ Если CISO вкладывает личные средства в поставщика или входит в совет директоров поставщика, они должны избегать конфликта интересов, отказавшись от оценки конфликтующих продуктов.
7️⃣ Все продукты и услуги поставщиков должны оцениваться по эффективности, цене, совместимости и полезности для компании, и это должно быть документально оформлено.
8️⃣ У CISO должен быть как минимум один человек, проверяющий их статус на предмет конфликта интересов при каждом решении о закупке и имеющий право наложить вето в случае обнаружения такого конфликта.
9️⃣ По причинам национальной безопасности, CISO не должны становиться советниками других компаний по безопасности, которые не находятся в той же стране, что и их работодатель.
Еще несколько лет назад я мог бы сказать, что для нас это не такая уж и актуальная история. Хотя я помню (хоть и не CISO), как меня звали в совет директоров одной отечественной ИБ компании (но не сложилось). Но лично у меня регулярно всплывали кейсы, в которых мог образоваться конфликт интересов, если бы я согласился на предлагаемые условия. Сейчас ситуация в РФ стала немного иной. Я знаю, что многие коллеги CISO не чураются внешнего консалтинга и подработок, но иногда забывают о соблюдении интересов своего основного работодателя. Поэтому пост Роберта вполне релевантен и нам.
Дочь переслала мне пост из одного канала, у автора которого примерно такое же количество подписчиков, как у меня. Но количество лайков там несоизмеримо больше 👍
Н Е С О И З М Е Р И М О!!! 😖
Одно только и утешает - в ИБ так не принято. У нас тут одни интроверты, нежелающие коммуницировать даже таким образом, или параноики, считающие, что по лайкам можно глубоко изучить человека как в кейсе Cambridge Analytics. Я, кстати, сам такой - интроверт-параноик, и тоже мало где и что лайкаю. Хотя может все проще - дети выражают свои эмоции гораздо охотнее, чем взрослые!
Раздумываю над экспериментом по открытию комментариев 🤔
ЗЫ. Может запеть? 🎤
Список технологий ИБ (по популярности), которые используются в качестве источников событий ИБ в SOCах, согласно отчета SANS по SOC 🔍 Если не брать в расчет SIEM, как средство анализа, то в Топ5 защитных средств входят:
1️⃣ Сенсоры для защиты оконечных устройств (EPP и EDR)
2️⃣ VPN (учитывая постоянные продажи доступов к VPN Fortinet, Check Point, Cisco, это вполне понятно)
3️⃣ Средства для защиты e-mail (SWG/SEG)
4️⃣ Межсетевые экраны следующего поколения (NGFW)
5️⃣ Средства защиты от вредоносного кода (песочницы и пока еще чудом где-то оставшиеся антивирусы).
SANS провел ежегодный опрос по SOCам. Из интересного в нем:
1️⃣ Типичный размер SOCа - 2-10 человек.
2️⃣ Основные две проблемы - нехватка автоматизации и персонала
3️⃣ Основной источник событий для обнаружения - EDR/XDR
4️⃣ Типичная архитектура SOC - на основе облака
5️⃣ В отличие от прошлых лет, когда использовалось несколько SOCов, в этом году обычно используется один центральный SOC
6️⃣ С точки зрения технологий у владельцев SOC чувствуется снижение удовлетворенности от применения ИИ/ML
7️⃣ Большинство (80%) SOCов работает в режиме 24х7
8️⃣ В 76% SOCов персонал работает удаленно
9️⃣ TI чаще используется при расследовании инцидентов и поиске угроз (Threat Hunting)
1️⃣0️⃣ Число тех, кто измеряет свою эффективность, немного снизилось - с 76% в прошлом году до 67% в этом
1️⃣1️⃣ Основная метрика остается той же - число инцидентов,
ЗЫ. Опрос проводился во многих странах мира (в России нет), но все-таки 2/3 респондентов из США.
Пока Snowflake ❄️ обещает внедрить обязательную многофакторную аутентификацию и продолжает обвинять «тупых клиентов» в том, что это все они сами виноваты, прослушайте песню про Snowflake ❄️ "Happy Little Cyber Incident", созданную ИИ 🎶
Читать полностью…Заходит в McDonalds "Вкусно и точка" 🍔 чувак, вскрывает аппарат, ставит устройства для удаленного доступа и несанкционированного доступа к информации и уходит. И хоть бы какая сволочь какой сотрудник спросил его "А ты, собственно, кто такой и чего в нутрях копаешься?" 🍔 К счастью чувака и подельников все-таки взяли, а видео среди прочего послужило доказательством противоправной деятельности 🇷🇺
Вы же в курсе, что 13 июля - международный день головоломок? 🤯 В любом случае, теперь в курсе. Ну а так как сегодня еще и выходной, то будет вам несколько квизов в канале 💡 чтобы и мозги потренировать и отдохнуть!
ЗЫ. К сожалению, более сложные варианты Телега не поддерживает 🤷♀️
Депутат Хинштейн пишет ✍️, что Youtube сам себе стреляет в ногу, блокируя каналы российских СМИ и политических деятелей. Поэтому он, депутат, а не Youtube, предлагает всей прогрессивной отечественной ИТ-индустрии самим уйти с Youtube 📱 в сторону VK и Rutube, а жалкой американской "копии" наших видеосервисов готовиться к возможным блокировкам в России.
Я свой видео-контент 📹 пытался как-то заливать на Rutube, который, по словам Хинштейна, никакой цензуры не вводил и гораздо лучше американских аналогов... Ну что могу сказать, в Госдуме видимо какой-то свой Rutube, быстрый, без цензуры, с оперативной заливкой контента (а не с ожиданием 2-3 дня на модерацию)... У меня не зашло 🤠
Ну а поскольку в деле стрельбы себе в ногу 🤦♂️ в области Интернет с нашими депутатами сравниться никто не может, то я не исключаю, что такое может произойти к очередным, осенним, выборам (в сентябре 2024 года). И кого волнует, что обучающим контентом на Youtube пользуется почти 100 млн граждан нашей страны. Поэтому, пока еще не заблокировали, посмотрите видео с PHD2, отсортированные по трекам 👀
Помните, на чем мы остановились?👀 🔑
Мы возобновляем рубрику #алфавит_исследователя!
Наверняка вы замечали, что при входе в зал «Криптография в цифровую эпоху» вас встречает проход в виде замочной скважины. А где же ключ? Какую роль он играет в криптографии? Что это вообще такое?
Рассказывает Егор Ефремов, научный сотрудник Музея криптографии.
В 2023-м году было зарегистрировано 28902 CVE. А только за первое полугодие 2024-го года в CVE внесено уже 2️⃣0️⃣9️⃣1️⃣0️⃣ записей. Это 115 CVE в день (только зарегистрированных). Ежегодный рост - 36.45%!!! 📈 Не буду в очередной раз писать о важности управления уязвимостями 🧐
Читать полностью…Страховой брокер Хауден (Howden) выпустил отчет, в котором, среди прочего, отметил падение стоимости 📉 страхования киберрисков, что связано с улучшением уровня ИБ организаций; хотя число успешных атак шифровальшиков и растет. При этом рынок киберстрахования растет стремительно 📈 и если в этом году он составляет 15 миллиардов долларов, то к 2030-му году он вырастет до 43 миллиардов 🤑 Такой рост будет достигнут за счет активного выхода страховых продуктов за пределы США и обращение к ним малого и среднего бизнеса. Думаю, и толика российского рынка страхования в этом росте есть. По крайней мере интерес к этому методу снижения потерь от реализации недопустимых событий появляется и у нас в стране и понемногу растет.
Читать полностью…Летом 2023 года Clorox, неизвестная в России компания из США, занимающаяся средствами для ухода за животными, коммерческого клининга и т.п., столкнулась с атакой, которая обошлась компании недешево - потеря дохода в размере 500 миллионов долларов и снижение оценки компании на 3 миллиарда 🤑 Но вместо того, чтобы извлечь уроки и начать улучшения ИБ, компания сделала своим “козлом отпущения” директора по информационной безопасности (CISO) Эми Богач, которая покинула свой пост во время кризиса, в то время как совет директоров и генеральный директор Линда Рэндл получили вознаграждения 💰
Несмотря на кризис, Clorox переизбрала всех двенадцать директоров и не создала отдельный комитет по технологиям или кибербезопасности, оставив ответственность за кибербезопасность аудиторскому комитету, в котором не было членов с соответствующим опытом в ИТ или ИБ 😍 "Прокси-заявление" включало план обеспечения кибербеза из семи пунктов, но он в значительной степени повторял планы предыдущих лет, что свидетельствует об отсутствии значительных изменений или улучшений в ответ на инцидент ИБ с катастрофическими последствиями 🤦♂️
Эта ситуация подчеркивает более широкую проблему с корпоративным управлением кибербезопасностью, где советы директоров часто не предпринимают существенных шагов для повышения уровня своей защищенности, вместо этого выбирая минимальное соблюдение требований и сохранение руководящих позиций и компенсационных пакетов. Фу быть такими 🤠
А сегодня у нас будет что-нибудь позитивное, про то, как CISO не сесть в тюрьму за инциденты ИБ 👮 Правда, на основе опыта супостатных заокеанских 🇺🇸 коллег
Читать полностью…Mandiant, войдя в состав Google, стала прям строчить различные отчеты и исследования по хакерским группировкам. Вчера вот они перед саммитом НАТО 🇺🇸 в Вашингтоне запостили перечень группировок, которые нацелились на Североатлантический альянс (преимущественно российские и китайские). Там и "Ледяная фуражка" (ICECAP, она же APT29), и "Замерзший Баренц" 🥶 (FROZENBARENTZ, она же APT44, она же Sandworm), и "Холодная река" (COLDRIVER), и "Писатель-призрак" (GHOSTWRITER), и другие.
А в конце июня они выпустили другой отчет про рост роли хактивистов 🥷 (например, KillNet, Anonymous, NoName, CyberAv3ngers, Gonjeshke Darande и т.п.) в ИБ-сфере и необходимости более пристально обращать внимание на их деятельность и учитывать в своей стратегии ИБ 🎩
Атрибуция там уровня "бог", но для изучения техник вполне себе источник 🇷🇺
ЗЫ. Но как они от "песочного червя" перешли к "замерзшему Баренцу"?..
Тут некоторые российские специализированные СМИ выпустили новость под заголовком "Технологии Passkey бессильны перед атаками Adversary-in-the-Middle" 😷 В оригинале заголовки зарубежных СМИ звучали не так безапелляционно - "Passkeys aren’t attack-proof, not until properly implemented", то есть "Технологии Passkey не защищены от атак, пока не будут должным образом внедрены". Согласитесь, немного другие интонации. Исходное же исследование, на которое ссылаются все, звучало и вовсе в иной коннотации - "Securing Passkeys: Thwarting Authentication Method Redaction Attacks" 🤒
Идея исследования очень проста - Passkey, беспарольная технология аутентификации пользователей, несмотря на свою популярность, может быть уязвим для атак “adversary-in-the-middle” (AitM) 🥷 Некорректная реализация Passkey, например, предоставление менее защищенных методов резервной аутентификации, может позволить AitM обойти процесс аутентификации 😲 путем изменения отображаемых пользователю запросов. Используя open source решения для атак AitM, например, Evilginx, можно обмануть пользователей популярных сервисов, таких как GitHub, Microsoft и Google, захватив их токены аутентификации и сессионные cookies 😮
Большинство методов резервной аутентификации, такие как пароли, контрольные вопросы, push-уведомления на доверенные устройства, коды по SMS и email, подвержены атакам AitM 👨💻 Единственным надежным по мнению авторов исследования методом является использование второго Passkey или аппаратного ключа FIDO2, защищенного PIN-кодом 🤒 Использование нескольких Passkey, один из которых является аппаратным ключом, считается наиболее безопасным методом 👍 Для восстановления аккаунта при потере Passkey или аппаратного ключа, наименее уязвимым методом является использование магической ссылки по заранее определенному email или номеру SMS.
Вывод простой - не все так страшно, если думать головой и правильно внедрять Passkey. А если не думать, то создается иллюзия защищенности. И кое-кто про это уже arkenoi/whats-wrong-with-passkeys-advocacy-e3b6806b3277">писал (и это не я).
ЗЫ. Тем временем, Microsoft 📱 планирует запретить своим сотрудникам в Китае пользоваться смартфонами на базе Android 📱
В одном из сервисов пробива появилась база уехавших из страны после февраля 2022 года россиян 🇷🇺 Источник формирования базы, как и ее подлинность неизвестны. Но выборочная проверка журналистами некоторых лиц показывает, что данные об уехавших 🏎 в основном верны.
В базе лиц, которые выехали из страны разными видами транспорта ✈️ ⛴ 🚘 🚶 более чем на два месяца, указаны ФИО, дата рождения, дата выезда из России и название страны, куда уехал гражданин России. В качестве причины отъезда в базе написано "Начало СВО", "Объявление мобилизации" и "Мятеж ЧВК Вагнер" 🎖 Вот именно это у меня и вызывает сомнение в подлинности базы - откуда эта причина взята? Кто в здравом уме на границе скажет правду о причинах отъезда?.. 🤦♂️
Даже если база фейковая (а каналы по утечкам про нее почему-то пока не написали), то ее опасность в том, что на ее основе могут начать выискивать "уехавших" - с разными целями. В свое время по утекшей базе сайта "Свобода Навальному" с работы увольняли людей. Тут может быть схожая неприятная история... 🫵
ЗЫ. Также в этом сервисе появилась база "Оппозиционеры 2022-2024", в котором собраны ФИО, ИНН, СНИЛС, адрес электронной почты, дата рождения, номер телефона и ID человека в Telegram.
Алекс Тейкшейра задался вопросом ❔, можно ли рассматривать Sysmon как альтернативу EDR? И в различных околоSOCовских чатиках эта тема тоже регулярно всплывает. Продвинутые эксперты рассказывают, что они никогда не будут платить EDR-вендорам, так как все тоже самое они могут сделать с помощью условно бесплатного Sysmon'а. Алекс решил расставить все точки над i, предварительно исключив из рассмотрения кейсы домашнего применения, компаний-противников коммерческого ПО 😠, а также истории, где необходимо пост-инцидентный анализ и форензика. По сути, он отвечал на вопрос, хорош ли Sysmon именно для детекта угроз?
И ответ его был отрицательным для 99% случаев. И дело даже не в управлении Sysmon в крупной территориально-распределенной сети, а в поддержке разработки новых детектов на базе получаемой телеметрии. Кто будет их писать? ✍️ Sysmon дает вам огромный объем ценнейшей телеметрии, которую надо уметь правильно обрабатывать. Если у вас есть такие специалисты и вы уверены, что они надолго с вами, тогда Sysmon вполне себе инструмент (если не вспоминать про функцию реагирования) 👨💻 Но если у вас специалистов нет, то надо довериться вендорам, которые уже взяли телеметрию, проанализировали ее, написали детекты и оснастили ими свои EDR-решения, сделав эту работу за вас.
Да, детекты в EDR - это черный ящик для большинства продуктов. Вы не можете увидеть ни список детектов, ни логику/код, скрывающиеся за ними. Но тут все зависит от выстроенного у вас процесса Detection Engineering 🎮 и как вы тестируете возможности по обнаружению угроз в вашей инфраструктуре. Как и любой продукт класса xDR, он не работает в парадигме "поставил и забыл" (это, пожалуй, единственное преимущество, которое есть у антивирусов), - с ним надо постоянно работать 👀 Писать кастомные детекты, разбирать телеметрию, реагировать, отрабатывать фолсы... Просто у Sysmon надо делать все тоже самое, только в разы больше.
От себя добавлю, что все тоже самое применимо не только к "Sysmon vs EDR", но и к любым другим схожим баталиям - "Wireshark vs IDS/NTA", "Log Management vs SIEM", "NBAR2 vs NGFW" и т.п.